สกมช.วางเกณฑ์ ‘ระบบไอที’ รับ ‘ภัยไซเบอร์’
สกมช.เตรียมแก้กม.เพิ่มอำนาจปรับหน่วยงานระบบไอทีไม่ปลอดภัย เหตุเป็นช่องแฮคเกอร์เจาะข้อมูล เร่งเครื่องออกกฎหมายลูกที่เหลืออีก 10 ฉบับให้แล้วเสร็จหวังอุดช่องโหว่ในทุกจุด
พล.อ.ต.อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) กล่าวว่า ภัยไซเบอร์ขององค์กรปีนี้ยังคงพบความเสี่ยงขององค์กรที่ไม่มีการอัพเกรดเซิร์ฟเวอร์ จนกลายเป็นช่องโหว่ของ แก๊ง แรนซัมแวร์ ในการขโมยข้อมูล เรียกค่าไถ่ ประจาน และเปิดเผยข้อมูล ซึ่งทั่วโลกมีบริษัทถูกแฮคข้อมูลกว่า 100 บริษัทต่อเดือน
ขณะที่ประเทศไทยถูกแฮคเฉลี่ยเดือนละ 5-6 บริษัท แต่ไม่มีใครเปิดเผย เพราะกลัวมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ ซึ่งเรื่องข้อมูลส่วนบุคคลในต่างประเทศ อาทิ สิงคโปร์ ออสเตรเลีย ให้ความสำคัญมากมีบริการ เครดิต วอช ด้วยการซื้อประกันข้อมูลรั่ว หากข้อมูลรั่วบริษัทต้องจ่ายค่าเสียหายให้ลูกค้าและรัฐบาล เชื่อว่าอีกไม่นานประเทศไทยต้องมีบริการรูปแบบนี้ เพราะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท กับหน่วยงานที่ปล่อยให้ข้อมูลส่วนบุคคลรั่ว
อย่างไรก็ตาม ที่ผ่านมา สกมช.มีหน้าที่ในการกำหนดมาตรฐานระบบไอทีให้หน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศ แต่กลับพบว่าหน่วยงานภาครัฐส่วนใหญ่ไม่มีความพร้อมด้านงบประมาณในการปรับปรุงระบบไอทีให้ได้มาตรฐาน เพื่อป้องกันการถูกแฮคข้อมูล ซึ่งอำนาจของ สกมช.ตามกฎหมาย มีเพียงการตักเตือน และท้ายสุดคือการรายงานต่อนายกรัฐมนตรี เพื่อให้เอาผิดตามมาตรา 157 เท่านั้น ทำให้หน่วยงานรัฐไม่สนใจสร้างมาตรฐานตามที่สกมช.กำหนด
ดังนั้น สกมช.จึงมีแผนในการปรับปรุงกฎหมายเพื่อให้มีโทษทางปกครองหรือค่าปรับลักษณะเดียวกับกฎหมายพีดีเอ ขณะเดียวกันในปีนี้จะดำเนินการออกกฎหมายลูกที่เหลืออีก 10 ฉบับให้แล้วเสร็จ จากทั้งสิ้น 50 ฉบับ ที่ได้ทยอยออกไปในปีที่ผ่านมา โดยกฎหมายที่เหลือดังกล่าวจะเป็นกฎหมายเกี่ยวกับหน่วยงานสกมช.เอง เช่น การกำหนดให้สามารถหารายได้จากการเก็บค่าธรรมเนียม ได้เหมือนองค์กรอื่น
“สกมช. ครบรอบ 2 ปีแล้ว แต่ยังมีกำลังพลเพียง 48 คน ที่เหลืออีกกว่าครึ่งเป็นพนักงานลูกจ้างชั่วคราว เนื่องจากติดปัญหาเรื่องงบประมาณ ซึ่งที่จริงแล้ว เราควรมีคนทำงาน 400 กว่าคน โดยในปีงบประมาณ 2567 จะขอคนเพิ่มเป็น 120 คน ให้ได้ก่อน”
ล่าสุด สกมช. จัดฝึกเตรียมการ (Pre-Exercise/Academic) ของกิจกรรมการฝึกและทดสอบแผนเผชิญเหตุในกรณีเกิดเหตุภัยคุกคามทางไซเบอร์ ในระดับวิกฤติในระดับประเทศ Thailand's National Cyber Exercise 2023 เป็นกิจกรรมการอบรมเตรียมความพร้อมด้านความรู้ให้กับผู้เข้ารับการฝึก
ทั้งนี้ผู้เข้ารับการฝึกจะได้รับฟังการอบรมโดยวิทยากรจากหน่วยงานที่มีประสบการณ์ด้านความมั่นคงทางไซเบอร์ และมีความร่วมมือกับ สกมช. อย่างต่อเนื่อง มาให้ความรู้เกี่ยวกับการรับมือ ป้องกัน และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามที่กำหนดไว้ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มิให้เกิดผลกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ซึ่งเกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ และโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะให้กับทุกคน